1 Attaque par SSH
Le CERTA a récemment traité un cas de compromission par exploitation d’un mot de passe faible pour le compte root. Ce type d’incidents est fréquent, mais il peut être limité en suivant les conseils ci-dessous :
- Il est possible de désactiver les connexions avec le compte root dans la configuration du serveur SSH. Toute connexion se fait dès lors avec un compte sans privilège. L’administration de la machine reste possible après utilisation de la commande su ou sudo (nous recommandons dans ce cas de ne pas mettre de commandes sans mot de passe dans le fichier de configuration de sudo).
- Les mots de passe utilisés doivent être forts. Il existe de nombreux outils gratuits disponibles sur l’Internet permettant de tester la robustesse des mots de passe. Par ailleurs, la lecture de la note d’information CERTA-2005-INF-001 est recommandée.
- La surveillance régulière des journaux des serveurs met généralement en évidence ce type d’attaques. En particulier, les administrateurs peuvent suivre de près les connexions SSH réussies (par exemple avec la commande grep -i accepted /var/log/secure).
2 Noms de domaine tombés en désuétude
Les noms de domaine se réservent auprès des registres (registrar) pour une durée déterminée (souvent un an). À l’issue de cette période de bail, les propriétaires des noms de domaine doivent effectuer un renouvellement. Si cette action n’est pas effectuée, le nom retournera dans le domaine public, et pourra ainsi être réservé par d’autres personnes.
Il arrive que les propriétaires de noms de domaine ne les renouvellent pas par oubli ou les abandonnent volontairement. Ce phénomène peut poser quelques problèmes avec les référencements des sites web. En effet, certains placés dans des domaines tombés en désuétude peuvent être référencés par d’autres sites où dans divers documents. Le problème survient lorsque ces domaines sont rachetés par la suite par des personnes mal intentionnées. Celles-ci peuvent dès lors installer des serveurs web hébergeant du code malveillant ou du contenu pouvant porter atteinte à l’image d’une organisation. Il est ainsi possible de voir des sites gouvernementaux référençant des sites à caractère pornographique.
L’abandon d’un nom de domaine doit faire l’objet d’une information au grand public et aux webmestres afin que les liens vers ces anciens domaines soient modifiés ou supprimés.
Rappel des avis émis
Dans la période du 20 au 26 février 2006, le CERT-FR a émis les publications suivantes :
- CERTA-2006-ALE-001-001 : Vulnérabilité dans le traitement de certains fichiers sous MAC OS X
- CERTA-2006-AVI-086-002 : Vulnérabilité de GnuPG
- CERTA-2006-AVI-087 : Vulnérabilité de Xpdf et ses dérivés
- CERTA-2006-AVI-088 : Vulnérabilité sur BIND4/BIND8 sur HP Tru64
- CERTA-2006-AVI-089 : Vulnérabilité dans Novell CASA
- CERTA-2006-AVI-090 : Vulnérabilité de phplib
- CERTA-2006-AVI-091 : Vulnérabilité de Mambo
- CERTA-2006-AVI-092-003 : Vulnérabilité de GNU tar
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2005-AVI-166-002 : Multiples vulnérabilités dans PostgreSQL
- CERTA-2005-AVI-221-003 : Vulnérabilité de gedit
- CERTA-2005-AVI-478-004 : Vulnérabilité dans Webmin/Usermin
- CERTA-2006-AVI-078-001 : Vulnérabilité de certaines versions PostgreSQL
